ewoke

http://opensecuritytraining.info/Training.html

бесплатно. только требуется серое вещество, много.

https://securelist.ru/analysis/obzor/27029/ya-est-hdroot-chast-1/

Протащился от описания. Время вспомнить досовский вирус Mammoth,

Mammoth.6000
Очень опасный файлово-загрузочный полиморфный стелс-вирус. При первом
старте инфицированной программы вирус заражает MBR жесткого диска.
Причем при наличии контроллера IDE жесткого диска, при записи вирусного
кода в MBR, вирус программирует непосредственно порты контроллера IDE.
Вирус определяет запуск инфицированной программы из под Microsoft
Windows и пытается в данном случае протрассировать INT 13h. В
зависимости от своих внутренних счетчиков или при неаккуратной
трассировке кода вируса, вирус может уничтожить информацию на жестких
дисках компьютера. Резидентная копия вируса устанавливается в память
при загрузке с жесткого диска компьютера. При 10 перезагрузке системы
вирус пытается уничтожить информацию на "винчестерах". Вирус
перехватывает INT 08, 13h, 17h, 20h, 21h, 25h, 26h. При заражении
Boot-секторов флоппи-дисков вирус форматирует дополнительную последнюю
дорожку дискеты, на которую записывает 12 секторов собственного кода и
оригинальный Boot-сектор. Вирус постоянно включает и выключает признак
наличия в КМОП (CMOS)-памяти дисководов флоппи-дисков, корректируя
контрольную сумму данной CMOS-памяти. При обращении к флоппи-дискам
вирус "включает" наличие дисководов в CMOS. После обращения -
"отключает". В результате, при загрузке системы с "чистой" системной
дискеты, дисководы дискет могут оказаться "неустановленными", и система
в таком случае попытается загрузиться с жесткого инфицированного диска.
Вирус первым получит управление, установит свою резидентную копию в
память, "включит" наличие дисководов в CMOS-памяти и отдаст управление
Boot-сектору диска A:. Т.о., вирус получит управление даже при загрузке
с "чистого" системного гибкого диска! Вирус содержит строку
"COMMAND.COMGDI.EXEDOSX.EXEWIN386.EXEKRNL286.EXEKRNL386.EXEUSER.EXE
WSWAP.EXECHKDSK.EXE".Программы, указанные в данной строке вирус не
заражает.


Для тех кто не знает, зачем напрямую к портам вв-вывода обращаться. Дело в том, что в памяти может быть активный антивирусный ревизор, мониторящий запись в начальные сектора диска. Обращение к оборудованию напрямую позволяет обойтись без вызововов Int13 Bios, и обойти тем самым мониторинг.

Потому что в реальном режиме невозможно перехватить обращения к портам ввода-вывода.

Ребята из 29а его реверснули, https://webcache.googleusercontent.com/search?q=cache:h15HdAqRqk0J:https://vxheaven.org/29a/29a-1/29a-1.4_3+&cd=5&hl=ru&ct=clnk

http://hype.retroscene.org/blog/266.html

"
Вы можете скомпилировать вашу программу тут — build.wctsite.tk, тут уже имеется обфускатор и несколько интересных фишек — преобразование десятичных чисел в Wct и строки в кавычках, которые преобразуются также в Wct совместимый код.
Полный набор инструкций для архитектуры x86 — wctsite.tk/code, 8086 — wctsite.tk/map, ASCII — wctsite.tk/map, ints — wctsite.tk/ints/bios, онлайн билдер — build.wctsite.tk.

Минимальный "Привет, мир" — http://pastebin.com/hJNTGmgu
"
Пвблик: http://vk.com/wctstudio

http://habrahabr.ru/post/261507/ «Прокачиваем» notepad.exe
http://habrahabr.ru/post/260861/ Правим баг без исходных кодов, part2

Ниже - авторский нерезидентный вирусок под дос. Кушает *.com ( https://ru.wikipedia.org/wiki/.COM ) в текущем каталоге, сохраняет работоспособность носителя.

( scratch! )

по прошествию ТРЕХ недель*, в результате невероятных умственных усилий, путем скармливания Гуглу "jmp short eb 7f", получаем "отгадку"

http://thestarman.pcministry.com/asm/2bytejumps.htm#FWD

и натужно в течении часа* "рожаем" код (вернее, добавляем пару команд и прыжок).

p.s. если слушать свое "хочу", "не хочу", ты обречен. надо заставлять себя. потому что тело, находящееся в покое, будет стремиться оставаться в покое. надо учить себя - себя же слушаться/исполнять не "вякая".

асм - это не лалок траллить. это cannot be done in 15 minutes. это физически скрипеть извилинами.

* результат перерыва - минут тридцать ушло на вспомнить "а где у меня что" и "как компилировать"

p.p.s а вообще,

; лобовым подбором решать будешь?
; ты сначала схематически эту муму нарисуй и сделай вывод, который затем оформи в код.

Думаю, что мой блог могут читать не только люди, имеющие отношение к трейдингу. Интересующиеся системным программированием, ссылки для вас.


Вин32асм, от основ до рабочего приложения

http://bitfry.narod.ru/

и, еще одна ссылка

http://needful-things.ru/mnt-wp/?p=29

Проект по написанию антивируса, содержащего в себе эмулятор. Пытался в нем участвовать, не потянул ("вертолетик", крутящийся символ "/", все же накодил).